Parte Confiante do ADFS - configuração do endpoint

2

Estou trabalhando na configuração de um ambiente de laboratório com duas máquinas Windows Server (virtuais) que cooperam em uma configuração do AD FS.

  • WIN-TORHJGJ7N:WindowsServer2012,executandooADFS2.0.Alémdisso,ocontroladordedomínio.
  • ADFSSERVERPROXY:Apesardeseunome,nãoérealmenteconfiguradocomoumproxy(ainda).Maisimportanteainda,elecontémumaplicativodawebemexecuçãonohttps://adfstest.sub.domain.com/.EleéprotegidocomoAgenteBaseadoemTokendoWindowsdoADFS,conformemostradonaimagemabaixo.Oaplicativodawebéumprogramasimplesde"hello world", portanto, não há lógica de autenticação nesse lado.

Naminhaprimeiramáquina,queroconfigurarminhaConfiançadeParteConfiante,masestoutendoproblemasparaconfigurarmeuspontosdeextremidade.Eutenteihttp://sts1.sub.domain.com/adfs/ls/,http://adfstest.sub.domain.com/eoutrasvariações,masrealmentenãotenhocertezadoquepretendeiratélá.Éumvalorarbitrárioouprecisaapontarparaumlocalespecífico?Seeleapontarparameuaplicativodaweb,precisoimplementaralógicadeautenticaçãonoaplicativo?

Então, resumindo uma longa história: o que se espera que seja a confiança dos endpoints da parte confiável nessa configuração?

EDITAR :
Um dos erros que recebo quando aponto o ponto de extremidade para um URL arbitrário no lado do aplicativo ( https://adfstest.sub.domain.com/ ) é o seguinte:

The AD FS Web Agent for Windows NT token-based applications encountered a serious error. The cookies that were presented by the client could not be validated.

This condition occurs when a client presents well-formed cookies that are not valid. If the client is known to be a valid user, this error might be caused by a transient issue. For instance, trust properties (for example, certificates) may have changed recently or revocation status may not be available from the certification authority.

User Action Look for additional events in the security log that may contain more details. Consider enabling failure auditing on this Web server if auditing is not already enabled.

    
por Honoki 03.10.2014 / 16:11

1 resposta

1

Este laboratório é apenas para o seu aprendizado ou para alguma prova de conceito a ser usada na produção mais tarde?

A abordagem baseada em tokens que você está tentando implementar é o método old school introduzido em 2003 R2. Tem certeza de que precisa fazer isso para produção?

A maneira atual de federar aplicativos é usar o WIF. Consulte o link para obter uma amostra usando a versão mais recente do WIF.

Nesse exemplo, substituindo as referências a

  • http://localhost:13922/wsFederationSTS/Issue com http://sts1.sub.domain.com/adfs/ls/ e
  • http://localhost:28503/ com http://adfstest.sub.domain.com/ e
  • 1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ1234 com o hash do certificado de assinatura de tokens do AD FS visível ao executar o cmdlet get-adfscertificate no AD FS

Veja também link para e para finalizar o exemplo do uso de WIF e AD FS. Esse artigo mostra o AD FS no Windows Server 2012 R2 em uso, mas é perfeitamente aplicável aqui.

    
por 05.10.2014 / 15:04